江蘇 周勇生

捕捉連接“黑”手

在局域網(wǎng)環(huán)境中，有些黑客會(huì)想方設(shè)法偷偷與網(wǎng)絡(luò)中的重要平臺系統(tǒng)建立連接，日后借助連接通道達(dá)到隨時(shí)“黑”人目的。其實(shí)，在Windows 平臺系統(tǒng)中，利用系統(tǒng)自帶的命令，進(jìn)行下面的操作，就能很輕松捕捉到各種可疑網(wǎng)絡(luò)連接：

首先CMD 窗口提示符狀態(tài)下輸入“netstat -a”命令，打開后能夠檢查到各個(gè)網(wǎng)絡(luò)連接的所有狀態(tài)信息，包括連接的協(xié)議名稱、外部地址、本地連接以及開啟的端口號碼等。依照這些內(nèi)容，大家只需要逐一排查本地平臺或用戶程序?qū)嶋H創(chuàng)建或使用的網(wǎng)絡(luò)連接，就能很輕松捕捉到那些潛藏的可疑網(wǎng)絡(luò)連接。

如果無法判斷特定網(wǎng)絡(luò)連接是否屬于“黑”連接，大家可以進(jìn)入瀏覽器窗口，輸入局域網(wǎng)路由器的管理地址（默認(rèn)地址大多為http://192.168.0.1 或http://192.168.1.1），進(jìn)入路由器后臺系統(tǒng)管理頁面。找到“附加設(shè)備”或相關(guān)的管理頁面，獲取到連接局域網(wǎng)的計(jì)算機(jī)名稱、IP 地址、MAC 地址以及設(shè)備硬件地址，將這些內(nèi)容與之前從DOS 命令窗口中獲取到的信息進(jìn)行認(rèn)真對比，倘若看到了一些陌生的設(shè)備或網(wǎng)絡(luò)連接，那么基本就能認(rèn)定本地網(wǎng)絡(luò)或系統(tǒng)正在遭受人“黑”。

知曉登錄“黑”手

在某些環(huán)境下，黑客可能會(huì)趁四周無人的時(shí)候，偷偷用超級用戶權(quán)限登錄重要平臺系統(tǒng)，以竊取一些機(jī)密信息。如何防范這種“黑”手行為呢？

很簡單！在Vista 以上版本系統(tǒng)中，只要系統(tǒng)啟用了“在用戶登錄期間顯示有關(guān)以前登錄的信息”組策略，那么操作系統(tǒng)的登錄過程就能被監(jiān)控到。下面就是詳細(xì)的設(shè)置過程：

首先在運(yùn)行框執(zhí)行“gpedit.msc”命令，在打開的系統(tǒng)組策略編輯窗口中，將鼠標(biāo)定位到“計(jì)算機(jī)配置”→“管理模板”→“Windows 組件”→“Windows 登錄選項(xiàng)”分支。

圖1 設(shè)置顯示登錄的信息

其次雙擊目標(biāo)分支下的“在用戶登錄期間顯示有關(guān)以前登錄的信息”組策略選項(xiàng)，彈出如圖1 所示的選項(xiàng)設(shè)置框，選擇“已啟用”，再單擊“確定”按鈕，這樣一來任何用戶的登錄過程都被系統(tǒng)自動(dòng)監(jiān)控到了。下一次，我們只要重新啟動(dòng)操作系統(tǒng)平臺，在登錄窗口就能知道上次是哪位用戶曾經(jīng)登錄過本地系統(tǒng)了。

揪出插拔“黑”手

不少網(wǎng)絡(luò)病毒都能利用移動(dòng)設(shè)備進(jìn)行傳播擴(kuò)散，哪一天突然覺得本地計(jì)算機(jī)系統(tǒng)感染了網(wǎng)絡(luò)病毒，那就很有必要弄清楚是否有“黑”手在本地計(jì)算機(jī)系統(tǒng)中偷偷插拔過帶毒的移動(dòng)設(shè)備。

要達(dá)到這個(gè)控制目的，我們不需要借助外力工具幫忙，就能查看到插入到本地系統(tǒng)中的所有移動(dòng)設(shè)備品牌以及它的ID 信息，下面就是詳細(xì)的查看操作步驟：

首先，打開運(yùn)行對話框，然后輸入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR/s”字符串命令，Windows 系統(tǒng)就會(huì)自動(dòng)將插入到本地計(jì)算機(jī)中的所有移動(dòng)設(shè)備品牌信息列寫出來。從如圖2 所示界面中，找到關(guān)鍵字“FriendlyName”，在該關(guān)鍵字后能查看到究竟有哪些品牌的移動(dòng)設(shè)備在本地計(jì)算機(jī)中插拔過。

圖2 查找本地系統(tǒng)中的所有移動(dòng)設(shè)備信息

當(dāng)然，執(zhí)行“reg query HKLMSYSTEMCurrent ControlSetEnumUSBSTOR/s”命令后，Windows 系統(tǒng)有時(shí)會(huì)返回大量的結(jié)果信息，這些信息不能在一屏界面中顯示完，為準(zhǔn)確地查看到監(jiān)控結(jié)果，不妨在MS-DOS工作窗口中輸入字符串命令“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR/s >H:123.txt”，將命令返回結(jié)果輸出到“H:123.txt”文本文件中。日后，啟動(dòng)運(yùn)行記事本程序，打開“H:123.txt”文本文件，在該文件編輯界面中依次單擊菜單欄中的“編輯”、“查找”命令，將“FriendlyName”關(guān)鍵字全部查找出來，同時(shí)將每個(gè)關(guān)鍵字后的品牌信息逐一記錄下來，這樣就能將所有可疑的移動(dòng)硬盤全部搜索出來。

有時(shí)，局域網(wǎng)中很多員工使用的移動(dòng)設(shè)備都是同一個(gè)品牌，此時(shí)想通過上面的方法來判斷是否有用戶悄悄在本地計(jì)算機(jī)中插拔過移動(dòng)設(shè)備，顯然是行不通的，我們只有使用其他辦法才能查看到是誰在偷插移動(dòng)設(shè)備。因?yàn)閃indows 系統(tǒng)默認(rèn)會(huì)為插入的每一只移動(dòng)硬盤分配一個(gè)設(shè)備ID，同時(shí)該設(shè)備ID 是唯一的。很明顯，我們現(xiàn)在能通過設(shè)備ID 來判斷是否有用戶在本地計(jì)算機(jī)中使用過移動(dòng)硬盤。

先將自己使用的移動(dòng)硬盤插入到本地計(jì)算機(jī)中，進(jìn)入計(jì)算機(jī)窗口，用鼠標(biāo)右擊自己的移動(dòng)硬盤圖標(biāo)，點(diǎn)擊快捷菜單中的“屬性”命令，切換到特定移動(dòng)硬盤屬性對話框，選擇“詳細(xì)信息”選項(xiàng)卡，在對應(yīng)選項(xiàng)設(shè)置頁面的“設(shè)備范例ID”或“設(shè)備實(shí)例路徑”設(shè)置項(xiàng)處，手工記憶下自己移動(dòng)硬盤的設(shè)備ID。

接著在CMD 窗口輸入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR/s”字符串命令，從返回的結(jié)果信息中，手工記憶下“Disk&Ven”關(guān)鍵字后面的設(shè)備ID，一旦看到結(jié)果信息中存在多個(gè)不同移動(dòng)硬盤的設(shè)備ID 時(shí)，那就表示肯定有其他用戶悄悄在本地計(jì)算機(jī)中使用過移動(dòng)硬盤。

發(fā)現(xiàn)輸入“黑”手

在公共場合下，有些人會(huì)對重要系統(tǒng)中的內(nèi)容，進(jìn)行非法輸入篡改。這時(shí)，我們需要加強(qiáng)對鍵盤鼠標(biāo)輸入操作進(jìn)行監(jiān)控，以及時(shí)發(fā)現(xiàn)輸入“黑”手。

要做到這一點(diǎn)，可以請“鍵盤記錄截圖”工具幫忙，它能自動(dòng)追蹤鼠標(biāo)活動(dòng)和鍵盤使用情況，同時(shí)以截取當(dāng)前屏幕圖片的方式存儲監(jiān)控結(jié)果，而且它在運(yùn)行時(shí)，會(huì)悄悄退回到系統(tǒng)后臺，不容易被“黑”手發(fā)現(xiàn)。

第一次運(yùn)行“鍵盤記錄截圖”程序時(shí)，它會(huì)彈出一個(gè)提示窗口，確認(rèn)后它會(huì)悄悄隱藏在系統(tǒng)后臺工作，無論是在系統(tǒng)任務(wù)欄中，還是在系統(tǒng)托盤位置處，都找不到目標(biāo)程序的“身影”，這種隱藏工作特性，能很好地防止別人任意停止該程序的工作狀態(tài)，從而能增強(qiáng)系統(tǒng)工作安全性。日后，如果想進(jìn)入“鍵盤記錄截圖”的主操作窗口時(shí)，只要通過“Ctrl+Alt+右光標(biāo)鍵”快捷鍵，就能調(diào)出主操作窗口了，在這里可以直觀看到正在操作的鼠標(biāo)、鍵盤輸入內(nèi)容。

一旦鼠標(biāo)、鍵盤有輸入內(nèi)容時(shí)，“鍵盤記錄截圖”工具會(huì)在第一時(shí)間將其捕獲，并會(huì)將監(jiān)控內(nèi)容智能保存到一個(gè)純文本文件中，該文本文件默認(rèn)位于“C:Record”文件夾中，以后進(jìn)入該文件夾窗口，打開其中的文本文件，就能查看到監(jiān)控結(jié)果了。

要是安裝的“鍵盤記錄截圖”程序是注冊版，那么它還可以監(jiān)控屏幕內(nèi)容，并將監(jiān)控到的屏幕內(nèi)容，自動(dòng)存儲為jpg 圖像文件，該文件默認(rèn)也位于“C:Record”文件夾窗口中。

倘若希望抓圖操作自動(dòng)進(jìn)行，建議大家打開目標(biāo)工具的設(shè)置對話框，按需設(shè)置好抓圖間隔時(shí)間，有效時(shí)間數(shù)值范圍為1-999 分鐘。

此外，考慮到將監(jiān)控結(jié)果保存到C 盤分區(qū)不安全，因此，建議大家調(diào)整一下監(jiān)控結(jié)果的保存路徑，讓其指向系統(tǒng)分區(qū)以外的位置。在進(jìn)行該操作時(shí)，可以先切換到目標(biāo)工具主操作界面，點(diǎn)擊右上角處的“更改目錄”按鈕，彈出文件夾選擇對話框，選擇并導(dǎo)入合適的文件夾即可。

請走蹭網(wǎng)“黑”手

成功組建好無線局域網(wǎng)后，不少用戶會(huì)不請自來，即使頻繁調(diào)整上網(wǎng)訪問密碼，也存在被蹭網(wǎng)“黑”手暴力破解的風(fēng)險(xiǎn)。為了及時(shí)請走蹭網(wǎng)“黑”手，確保無線上網(wǎng)安全，我們不妨借助“WiFi Guard”這款專業(yè)程序，對那些嘗試蹭網(wǎng)的“黑”手加強(qiáng)監(jiān)控，讓他們在蹭網(wǎng)之前顯露原形。

圖3 自動(dòng)顯示在程序的監(jiān)控列表中

進(jìn)入“WiFi Guard”程序的主界面，點(diǎn)擊“Settings”按鈕，打開Basic 控制面板，在其中選擇正在使用的無線網(wǎng)卡設(shè)備，接著定義好自動(dòng)掃描周期、同步掃描的網(wǎng)絡(luò)設(shè)備數(shù)量等信息，再切換到Advanced 控制面板，在這里設(shè)置好自動(dòng)掃描的地址范圍。這樣，“WiFi Guard”程序就能按照配置要求，進(jìn)入監(jiān)控狀態(tài)了。第一次運(yùn)行時(shí)，它可以將無線網(wǎng)絡(luò)中的所有主機(jī)監(jiān)控到，同時(shí)自動(dòng)顯示在程序的監(jiān)控列表中（如圖3 所示），不過在默認(rèn)狀態(tài)下，該程序僅會(huì)將本地主機(jī)和無線路由器顯示為綠色圖標(biāo)，將其他主機(jī)全部顯示為可疑的紅色圖標(biāo)。

用鼠標(biāo)雙擊自己認(rèn)為合法、可信的主機(jī)名稱，同時(shí)輸入對應(yīng)主機(jī)的說明信息，再勾選“I know this computer or device”選項(xiàng)，將目標(biāo)主機(jī)設(shè)置為合法主機(jī)。按照相同的操作步驟，將其他主機(jī)逐一定義為合法主機(jī)。日后，當(dāng)懷疑無線網(wǎng)絡(luò)被人攻擊或運(yùn)行不正常時(shí)，只要點(diǎn)擊該程序界面中的“Scan Now”按鈕，它會(huì)立即對本地?zé)o線網(wǎng)絡(luò)進(jìn)行掃描監(jiān)控，通過分析、比對預(yù)存的主機(jī)數(shù)據(jù)庫，就能發(fā)現(xiàn)蹭網(wǎng)用戶的主機(jī)設(shè)備。將對應(yīng)設(shè)備的MAC 地址手工添加到無線路由器MAC 過濾列表中，就能及時(shí)請走蹭網(wǎng)“黑”手了。

清除病毒“黑”手

長時(shí)間在線的計(jì)算機(jī)，總會(huì)不可避免地遭遇病毒“黑”手的攻擊。這些“黑”手往往會(huì)悄悄潛藏在系統(tǒng)的啟動(dòng)項(xiàng)中，以便日后跟隨系統(tǒng)自動(dòng)運(yùn)行發(fā)作，從而給重要系統(tǒng)正常運(yùn)行帶來極大的安全威脅。為了降低系統(tǒng)安全威脅，我們必須想方設(shè)法，及時(shí)清除潛藏在系統(tǒng)暗處的病毒“黑”手！

首先，打開系統(tǒng)資源管理器窗口，定位到“C:Documents and Settings用戶名開始菜單程序 啟動(dòng)”路徑，檢查其中是否有可疑的自啟動(dòng)項(xiàng)目，揪出潛藏在啟動(dòng)文件夾中的病毒“黑”手。

其次，進(jìn)入系統(tǒng)注冊表編輯界面，定位到如圖4 所示等分支，檢查各個(gè)注冊表啟動(dòng)項(xiàng)中是否存在陌生鍵值，如果存在的話，必須及時(shí)將陌生鍵值和對應(yīng)病毒文件刪除掉，這樣才能將潛藏在系統(tǒng)注冊表中的自啟動(dòng)病毒“黑”手清除掉。

圖4 檢查各個(gè)注冊表啟動(dòng)項(xiàng)中是否存在陌生鍵值

第三，執(zhí)行“gpedit.msc”命令，打開系統(tǒng)組策略控制臺窗口，將鼠標(biāo)定位到“用戶配置”→“管理模板”→“系統(tǒng)”→“登錄”分支上，雙擊“在用戶登錄時(shí)運(yùn)行這些程序”選項(xiàng)，彈出選項(xiàng)設(shè)置對話框，檢查“已啟用”選項(xiàng)是否已被選中，當(dāng)看到該選項(xiàng)已處于選中狀態(tài)時(shí)，單擊“顯示”按鈕，切換到應(yīng)用程序默認(rèn)啟動(dòng)列表對話框。檢查這里是否有應(yīng)用程序出現(xiàn)，缺省狀態(tài)下，應(yīng)該不會(huì)看到任何應(yīng)用程序，要是發(fā)現(xiàn)有陌生應(yīng)用程序存在時(shí)，那多半就是病毒“黑”手化身，立即選中并清空調(diào)用路徑，再根據(jù)源路徑找到并刪除具體的病毒“黑”手的可執(zhí)行文件，將潛藏在組策略中的病毒“黑”手清除干凈。

還有一些病毒“黑”手隱蔽性十分強(qiáng)，它們有時(shí)會(huì)將自身“化身”成系統(tǒng)服務(wù)，讓普通用戶不能準(zhǔn)確找到它們的“身影”。

此時(shí)，可以打開系統(tǒng)服務(wù)列表界面，單擊“啟動(dòng)類型”標(biāo)簽，讓系統(tǒng)服務(wù)按啟動(dòng)類型進(jìn)行排序，確保自啟動(dòng)類型服務(wù)排列顯示在最頂端，從中找出陌生的自啟動(dòng)服務(wù)。

進(jìn)入該服務(wù)屬性對話框中，單擊“停止”按鈕，暫停其繼續(xù)運(yùn)行。同時(shí)，在“常規(guī)”標(biāo)簽頁面中，找到陌生服務(wù)的可執(zhí)行文件路徑，進(jìn)入系統(tǒng)資源管理器窗口，刪除干凈它的可執(zhí)行文件。此外，還可以將鼠標(biāo)定位到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支中，找到該分支下的陌生鍵值，刪除陌生鍵值和對應(yīng)病毒文件，請走“喬裝”成系統(tǒng)服務(wù)躲藏到注冊表中的病毒“黑”手。